Tunnel VPN to VPN
Guten Abend.
Folgende Problemstellung:
Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den Hauptserver im Rechenzentrum angeschlossen.
Die Standorte bauen ihre VPN zwischen einer Zyxel USG200 und pfSence auf.
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.
Mein erster Versuch war es ein Routing zu definieren, dass alle eingehenden Anfragen von IP-Kreis des Netzwerk A auf IP Kreis des Netzwerk-B umgeleitet werden.
Viele Dank im Voraus
Folgende Problemstellung:
Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den Hauptserver im Rechenzentrum angeschlossen.
Die Standorte bauen ihre VPN zwischen einer Zyxel USG200 und pfSence auf.
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.
Mein erster Versuch war es ein Routing zu definieren, dass alle eingehenden Anfragen von IP-Kreis des Netzwerk A auf IP Kreis des Netzwerk-B umgeleitet werden.
Viele Dank im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318903
Url: https://administrator.de/contentid/318903
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
-
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Mit OpenVPN ist es umsetzbar.
Gruß
Christoph
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.#-
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Mit OpenVPN ist es umsetzbar.
Gruß
Christoph
Zitat von @ChriBo:
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Kurzes googeln ergab tatsächlich einige Threads, die dies nahelegen. Auch wenn wir pfSense hier immer nur zur reinen Paketfilterung - nie als VPN-Gateway - genutzt haben, erscheint mir dies in dieser Absolutheit aber eher zweifelhaft.
Gesichert erscheint, dass man mit pfSense - anders als bei den USGs in den Aussenstellen - keinen Traffic zwangsweise per Route in den IPSec-Tunnel schieben kann, der nicht Teil der Phase2-SA ist. Oder anders ausgedrückt: die pfSense kann kein routebased IPSec-VPN, sondern arbeitet diesbezüglich nur policybased.
Dies heisst aber gleichsam nicht zwangsläufig, dass eine pfSense nicht doch als Hub in einer IPSec-Hub-and-Spoke-Konfiguration fungieren kann. Man muss vermutlich lediglich die IPSec-Parameter (Phase2) so konfigurieren, dass sie sämtliche beteiligten IP-Netze erfasst. Das ging bisher noch bei jedem IPSec-Gateway - selbst bei einer Fritzbox. Siehe z.B. Ping über mehrere VPN Tunnel
Gemäß dieses Threads scheint dies auch mit einer pfSense zu funktionieren: https://forum.pfsense.org/index.php?topic=69203.0
Freilich ist dies etwas "unhandlich" bei vielen Standorten und/oder bei einem undurchdachten IP-Adress-Design. Deshalb fragte ich gezielt hiernach. Unter Umständen wäre es sinnvoller, die pfSense der Zentrale ebenfalls durch eine Zywall USG zu ersetzen. Diese kann das gewünschte Szenario problemlos "routebased" abbilden.
Gruß
sk
Zitat von @bmitsol:
EDIT:
Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?
EDIT:
Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?
Auf den Zywalls? Da würde man es normalerweise per Policy-Routing regeln. Da die pfSense das aber nicht unterstützt, musst Du Dich nach der pfSense richten.
Zitat von @bmitsol:
EDIT2:
DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...
...
Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?
EDIT2:
DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...
...
Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?
Ja. Aufgrund dessen, dass bei Dir die Zentrale und die Außenstellen nicht in einem aggregierbaren IP-Adresskreis liegen, benötigst Du auf der pfSense pro Außenstelle mind. eine zusätzliche Phase2-Policy. Selbiges gilt dann leider auch für die USGs in den Außenstellen.
Sofern die pfSense damit klarkommt, dass local Net und remote Net überlappen, dann könntest Du per Supernetting aber immerhin pro Außenstelle mit nur einer zusätzlichen Tunneldefinition auskommen.
Beispiel USG_Netz_1 nach pfSense:
- local Net = 10.7.64.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
Beispiel pfSense nach USG_Netz_1:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.64.0/24
Beispiel USG_Netz_2 nach pfSense:
- local Net = 10.7.80.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
Beispiel pfSense nach USG_Netz_2:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.80.0/24
Netz 3 analog.
Wie Du siehst, war es ungünstig, der Zentrale eine 192er Adresse zu geben. Leg sie in einen 10.7er Bereich und Du musst keine zusätzlichen Phase2-Policies anlegen, sondern lediglich die bestehenden anpassen. Wie gesagt: Unter dem Vorbehalt, dass die pfSense damit klar kommt und wie angenommen "tickt"...
Gruß
sk